Курсовой_Ключанский_Ларин_Архангельский
.pdf9. Внедрение системы обеспечения информационной безопасности.
Безопасность оборудования:
Коммутаторы серии S5731-S поддерживают различные стандарты для обеспечения безопасности сети, такие как предотвращение атак: TCP, UDP, ICMP флуд, DHCP Snooping (защита от атак на DHCP при рассылки поддельных DHCP запросах и ответах.)
IPSG (IP Source Guard) — это функция безопасности, используемая в сетевых устройствах, таких как коммутаторы, для предотвращения атак, связанных с подделкой IPадресов.
Основные функции IPSG:
1.Фильтрация трафика: IPSG позволяет разрешать только тот трафик, который соответствует предварительно определённым IP-адресам, связанным с MAC-адресами, зарегистрированными на конкретных портах.
2.Защита от подделки IP-адресов: Устройство блокирует пакеты, отправленные
снеразрешённых IP-адресов, что помогает предотвратить атаки, направленные на перехват или модификацию сетевого трафика.
3.Интеграция с DHCP snooping: IPSG часто используется вместе с DHCP snooping, чтобы обеспечить дополнительный уровень безопасности, проверяя, что полученные IP-адреса соответствуют легитимным клиентам.
Коммутаторы серии S1730S поддерживают стандарт IEEE 802.1X для аутентификации пользователей при помощи RADIUS-сервера: Remote Authentication DialIn User Service - расширенный протокол удаленного аутентификации пользователей, представляет собой ключевой элемент в обеспечении безопасности и управлении доступом в сетях. Поддержка ACL (листы доступа Access Control List), использующихся для ограничения доступа к ресурсам сети посредством отклонения и фильтрации пакетов в соответствии с заданными политиками.
Коммутаторы серии S3300 поддерживают протоколы HWTACACS (это протокол, разработанный компанией Huawei для аутентификации, авторизации и учёта (AAA) доступа к сетевым устройствам. Он служит для управления доступом к устройствам, таким как маршрутизаторы и коммутаторы) и NAC (это концепция и набор технологий, которые обеспечивают безопасность сетевого доступа, контролируя и управляя тем, какие устройства могут подключаться к сети и какие права у них есть. NAC протоколы позволяют определять, соответствует ли устройство установленным политикам безопасности, прежде чем предоставить доступ к сети.)
21
Маршрутизаторы серии AR6100 от Huawei поддерживают PKI (инфраструктуру открытых ключей), что позволяет использовать более безопасные методы аутентификации
ишифрования. Вот несколько ключевых моментов:
1.Эти маршрутизаторы могут работать с цифровыми сертификатами, что помогает удостоверять подлинность пользователей и устройств в сети.
2.Благодаря PKI обеспечивается шифрование трафика, что защищает данные от перехвата во время передачи.
3.При настройке VPN маршрутизаторы используют PKI для аутентификации, что позволяет безопасно подключаться к корпоративной сети из любой точки.
4.PKI хорошо сочетается с другими протоколами безопасности, такими как IPsec и SSL, что усиливает общую защиту сети.
Также имеется функция подавления широковещательных штормов (broadcast storm suppression), что помогает предотвратить негативные последствия избыточного широковещательного трафика в сети. Контроль широковещательного трафика (функция ограничивает количество широковещательных пакетов, которые могут проходить через интерфейс за определённый период времени. Это помогает избежать перегрузки сети). Защита от атак (подавление широковещательных штормов защищает сеть от атак, связанных с широковещательными штормами, таких как DDoS, которые могут привести к снижению производительности или полной недоступности сети).
Межсетевой экран Huawei USG6525E
Межсетевые экраны (или Firewall) выступают ключевым звеном обеспечения безопасности любой вычислительной сети, взаимодействующей с публичными сетями передачи данных. Среди основных задач межсетевого экрана является фильтрация входящего и исходящего трафика, создание условий для защиты информации о внутренней структуре сети, организация демилитаризованной зоны, а также поддержка общей концепции безопасности для интернет-пользователей:
создание безопасных соединений для серверов предприятий при выходе в
интернет;
аутентификация и авторизация пользователей;
контроль корректности использования различных протоколов;
фильтрация сетевых соединений и поддержка политики безопасности;
раскрытие адресов и защита информации о структуре сети;
защита от несанкционированного доступа к ресурсам сети;
22
обеспечение отказоустойчивости и резервирования каналов связи. Политики Информационной Безопасности 1. Политика Управления Информационной Безопасностью
Цель: определить цели и направления политики информационной
безопасности.
Область применения: Применима ко всем сотрудникам, подрядчикам и третьим лицам, имеющим доступ к информационным активам.
Ответственность: назначить ответственных лиц за управление информационной безопасностью на всех уровнях организации.
2. Политика Классификации Информации
Цель: установить уровни конфиденциальности для всех информационных
активов.
Классификация: определить категории (например, публичная, внутреннее использование, конфиденциальная, строго конфиденциальная).
Маркировка: установить правила для маркировки документов и данных в соответствии с их классификацией.
3. Политика Управления Доступом
Цель: обеспечить контроль доступа к информационным ресурсам.
Процедуры: установить процессы для выдачи, изменения и отзыва доступа.
Минимальные привилегии: определить принцип минимальных привилегий, позволяя пользователям доступ только к тем ресурсам, которые необходимы для их работы.
4. Политика Управления Рисками
Цель: идентифицировать и управлять рисками для информационных активов.
Оценка рисков: установить процедуры для регулярной оценки рисков.
Мониторинг: определить шаги по мониторингу и реагированию на выявленные риски.
5. Политика Использования Информационных Ресурсов
Цель: установить правила для использования компьютерных и сетевых
ресурсов.
Использование: определить допустимые и недопустимые действия при использовании ресурсов.
Ответственность: обозначить ответственность сотрудников за сохранность информации и соблюдение правил.
6. Политика Инцидентов Безопасности
Цель: определить процесс реагирования на инциденты безопасности.
23
Обнаружение: установить системы мониторинга для раннего выявления
инцидентов.
Реагирование: определить действия по реагированию, включая создание команд и процессов для управления инцидентами.
7. Политика Обучения и Сознания
Цель: повысить уровень осведомленности сотрудников о вопросах
безопасности.
Программы обучения: разработать регулярные тренировки и программы
обучения.
Оценка знаний: проводить тестирование и оценки для проверки уровня знаний сотрудников.
8. Политика Аудита и Проверок Соблюдения
Цель: обеспечить соблюдение политик и процедур безопасности.
Аудиты: установить планы для проведения регулярных внутренних и внешних аудитов.
Отчетность: определить процессы для документирования и анализа результатов аудитов.
9. Политика Управления Логами и Аудитом
Цель: обеспечить надлежащую регистрацию и мониторинг действий в
системе.
Сбор логов: установить правила сбора, хранения и анализа логов.
Аудит логов: проводить регулярные проверки логов для выявления аномалий
инесанкционированных действий.
Внедрение и Поддержка Политик Все политики должны регулярно пересматриваться и обновляться в соответствии с
изменениями в законодательстве, технологии и потребностях организации. Также важно обеспечить, чтобы все сотрудники были ознакомлены с политиками и прошли обучение по вопросам информационной безопасности.
Эти политики создадут основу для управления информационной безопасностью в вашей организации и помогут защитить информационные активы от потенциальных угроз.
24
10.Инструкция по действиям администратора системы при самых
распространенных ошибках TCP/IP.
Ниже приведена инструкция для администратора системы по действиям при наиболее распространенных ошибках TCP/IP:
Сетевой уровень Неполадки на сетевом уровне обуславливаются ошибками в работе сетевых
протоколов и неправильной настройкой сетевого оборудования или пользовательских компьютеров.
Причины данных неполадок:
неправильное указание IP-адреса сети;
ошибки в работе сетевого адаптера;
неправильно установлен IP-адрес на сетевом интерфейсе;
одинаковый IP-адрес назначен одновременно на нескольких оконечных пользователях;
неправильно выбранная маска подсети;
неправильный адрес DNS-сервера;
отсутствие работы протокола маршрутизации;
неправильная работа брандмауэра или ACL-списков.
Способы диагностики проблем на сетевом уровне:
1)Используя командную строку Windows ввести команду «ipconfig /all» и проверить наличие корректного IP-адреса, маски подсети, шлюза по умолчанию, отображение адреса DHCP-сервера, т.к. DHCP-сервер отвечает за раздачу IP-адресов клиентам.
2)Проверить существующие правила брандмауэра на ошибочно настроенный запрет входящих и исходящих соединений.
3)Используя встроенный инструмент командной строки сетевого оборудования, убедиться, что IP-адрес на сетевом интерфейсе назначен верно, маска подсети и сама сеть выбраны верно, протокол маршрутизации выбран и настроен правильно, ACL-списки работают корректно и не блокируют разрешенных клиентов и портов.
4)Используя программу Wireshark выбрать необходимый сетевой интерфейс и начать захват пакетов. После окончания захвата, полученный результат нужно проанализировав на наличие в пакетах сообщений об ошибках работе сетевых протоколов, или об отсутствии входящего трафика.
25
5)Используя команду «netstat» в командной строке Windows проверить наличие активных соединений и их состояние, прослушиваемых портов.
6)Используя в командной строке Windows команду «route print» совместно с ключом «-4» или «-6», в зависимости от выбранного сетевого протокола IPv4 или IPv6, отобразить текущее состояние таблицы маршрутизации и проанализировать её.
7)Используя команду «ping» и IP-адрес шлюза по умолчанию, провести диагностику соединения между конечным пользователем и маршрутизатором. Если шлюз по умолчанию не достижим, с помощью команды «pathping» или «tracert» проверить путь до шлюза по умолчанию, на каком из промежуточных устройств или интерфейсов обрывается связь.
Возможны проблемы при ошибках в работе таких служб как DHCP и DNS. Причины данных неполадок:
DHCP-сервер не работает должным образом или не настроен;
DNS-сервер не работает должным образом или не настроен. Способы диагностики проблем:
1)Для проверки правильности работы DHCP на оконечном устройстве, необходимо в командной строке Windows ввести команду «ipconfig /all» и проверить наличие назначенного IP-адреса, маски подсети, шлюза по умолчанию, отображение адреса DHCP-сервера. С помощью программы Wireshark проверить наличие пакетов DHCP и произвести их захват для дальнейшего анализа, после которого можно окончательно выявить проблему. В случае отсутствия работы DHCP сервера, оконечное устройство автоматически получит «link-local» адрес, выданный службой «APIPA», который не маршрутизируется в локальной сети. Данный IP-адрес берется из диапазона 169.254.0.0— 169.254.255.254, маска 255.255.0.0. Если данный IP-адрес назначен устройству, то это напрямую указывает о сбоях в работе DHCP-сервера.
2)Для проверки работы DNS-сервера на оконечном устройстве, необходимо в командной строке Windows ввести команду «ipconfig /all» и проверить в строке «DNSсерверы» наличие IP-адреса. Так же, можно отправить эхо-запрос на DNS-сервер с помощью команды «ping». Для тестирования работы DNS можно воспользоваться командой «nslookup», если вместе с этой командой ввести доменное имя в случае, если DNS-сервер работает, будет возвращен IP-адрес запрашиваемого доменного имени. Команда «ipconfig /displaydns» отображает содержимое кэша сопоставления имен DNS клиента, включающего записи, предварительно загруженные из локального файла «hosts»,
атакже последние полученные записи ресурсов для запросов на сопоставление имен.
26
Данные, полученные с помощью вышеперечисленных команд необходимо проанализировать и прийти к выводу о работоспособности DNS-сервера.
Распространенные причины:
1. Конфликт IP-адресов
Идентификация причин конфликта:
Используется команда arp -a для просмотра ARP-таблицы и определения
конфликта;
Убедится, что каждый хост в сети имеет уникальный IP-адрес.
Решение конфликта:
Назначение уникальный IP-адрес вручную или обновление конфигурации
DHCP.
Проверьте таблицу статических IP-адресов, чтобы избежать дублирования.
Проверка статуса сетевого интерфейса:
Используется команду ipconfig (Windows) или ifconfig/ip addr (Linux), чтобы удостовериться, что интерфейс активен и имеет IP-адрес.
Неправильный IP-адрес:
Перезапуск DHCP-клиента:
Применяется ipconfig /release и ipconfig /renew на Windows или dhclient -r и
затем dhclient на Linux для получения нового IP-адреса.
Проверка DHCP-сервера:
Убедится, что сервер DHCP работает корректно и имеет свободные IP-адреса
для раздачи.
2. Локальные конфигурации и настройки
Проверка маски подсети:
Использование команды ipconfig (Windows) или ifconfig (Linux) для проверки сетевых настроек и убедится, что маска подсети задана верно для сети.
Проверка на исправление шлюза:
Убедится, что в настройках сетевого интерфейса указан корректный IP-адрес шлюза и он доступен (ping <IP-адрес шлюза>).
Проблемы с доменными именами:
Проверка DNS-настроек:
Используется nslookup или dig для тестирования разрешения имен;
Убедится, что в сетевых настройках указан правильный DNS-сервер.
27
Проверка DNS-сервера:
Использование команды ipconfig /all (Windows) или cat /etc/resolv.conf
(Linux) для просмотра текущих настроек DNS-серверов;
Если используется локальный DNS-сервер, убедится, что он работает и корректно настроен;
Очистка DNS-кэша:
Выполнение командой ipconfig /flushdns на Windows или sudo systemdresolve --flush-caches на Linux.
Попробовать использовать альтернативный публичный DNS-сервер.
Удаление и повторная установка сетевого адаптера;
Обновление драйверов сетевых устройств;
Настройка статического IP-адреса (если необходимо).
3. Проблемы с брандмауэром
Проверка настроек брандмауэра:
Убедитесь, что брандмауэр не блокирует DNS-запросы
Убедитесь, что соответствующие порты и протоколы открыты для необходимых служб;
Применение команды telnet для проверки доступности портов.
4. Диагностика и мониторинг
Использование инструментов диагностики:
Ping: Проверка доступность удаленного хоста;
Traceroute/Tracert: Определение трассы данных до удаленного хоста, чтобы выявить места задержек или разрывов. Команды tracert example.com в Windows и tracert example.com в Linux;
Netstat: Проверка текущее состояние соединений и службы, использующие сеть. Выполнение команды netstat -an.
Мониторинг сетевой активности:
Использование программы Wireshark, для анализа пакетов для выявления проблем (таких как повторные передачи, задержки или пропущенные пакеты);
Использование программы Nagios для круглосуточного мониторинга сети, который может своевременно выявлять проблемы с доступностью сети и ресурсам.
Использование программы Zabbix для обеспечения визуализации и мониторинга сетевых параметров и систем. Позволяет настраивать оповещения о нештатных ситуациях.
28
Использование программы Prometheus & Grafana часто используются в паре, предоставляют возможности для мониторинга и визуализации в реальном времени. Prometheus собирает метрики, а Grafana отвечает за их отображение на наглядных графиках.
Вышеперечисленные действия помогут идентифицировать и устранить большинство распространенных ошибок TCP/IP, с которыми может столкнуться системный администратор.
11.Контрольные вопросы
34.Что такое маршрутизация и по каким алгоритмам она осуществляется?
Маршрутизация — это процесс передачи пакетов данных от источника к получателю
через одну или несколько сетей. Основная задача маршрутизации заключается в выборе оптимального пути прохождения данных через сложную сеть, состоящую из многих узлов и соединений.
Маршрутизация осуществляется по различным алгоритмам, которые можно классифицировать следующим образом:
1) Статическая маршрутизация:
В этом случае маршруты задаются вручную администратором сети. Маршрутизаторы используют заранее определенные пути для передачи пакетов;
Преимущества: Простота настройки и управления в небольших или неизменных сетях;
Недостатки: Cложность управления в больших сетях с динамическими
изменениями.
2) Динамическая маршрутизация:
Маршрутизаторы автоматически определяют маршруты на основе информации, полученной от соседних маршрутизаторов. Это позволяет им адаптироваться к изменениям
всети.
Алгоритмы динамической маршрутизации включают: Алгоритмы вектора расстояния:
RIP (Routing Information Protocol): Простой протокол маршрутизации,
использующий количество узлов как метрику. Ограничение до 15 узлов. Алгоритмы состояния канала:
OSPF (Open Shortest Path First): использует алгоритм Дейкстры для поиска кратчайшего пути. Учитывает различные параметры для определения оптимального маршрута;
29
IS-IS (Intermediate System to Intermediate System): Похож на OSPF,
используется в крупных сетях. Гибридные алгоритмы:
EIGRP (Enhanced Interior Gateway Routing Protocol): Разработан Cisco и
сочетает в себе элементы алгоритмов вектора расстояния и состояния канала. 3) Маршрутизация по политике:
Управление трафиком на основе политикам компании, учитывая факторы, такие как стоимость, качество обслуживания и доступность связи.
Эти алгоритмы помогают в обеспечении надёжности и эффективности передачи данных в современных сложных сетях. Выбор алгоритма зависит от специфики сети, её размера, требований к надежности и скорости работы.
11. Опишите пять функций управления модели ISO FCAPS?
Fault Management (Управление отказами) – обнаружение отказов в устройствах сети, локализация отказов и инициирование корректирующих действий;
Configuration Management (Управление конфигурированием) – возможность отслеживания изменений, конфигурирования и установки ПО на всех устройствах сети;
Accounting Management (управление учетом) – возможность сбора и передачи учетной информации для генерирование отчетов об использовании сетевых ресурсов;
Performance management (управление производительностью) – непрерывный источник информации для мониторинга показателей работы сети QoS и ToS, распределения сетевых ресурсов;
Security Management (управление безопасностью) – возможность управления доступом к сетевым ресурсам и защитой от угроз.
39. Что нужно сделать администратору системы для инсталляции ОС файл-сервера?
Необходимо подготовить рабочую таблицу файл-сервера, которая должна заполняться в процессе инсталляции, а также рабочие копии любых дисковых и сетевых драйверов. Затем необходимо вычислить размер памяти для каждого тома, общую память, память необходимую для работы самой ОС.
30